KR102491459B1 - 다자간 협업 기반의 보안 취약점 관리 방법, 시스템 및 이를 위한 장치 - Google Patents

다자간 협업 기반의 보안 취약점 관리 방법, 시스템 및 이를 위한 장치 Download PDF

Info

Publication number
KR102491459B1
KR102491459B1 KR1020200162075A KR20200162075A KR102491459B1 KR 102491459 B1 KR102491459 B1 KR 102491459B1 KR 1020200162075 A KR1020200162075 A KR 1020200162075A KR 20200162075 A KR20200162075 A KR 20200162075A KR 102491459 B1 KR102491459 B1 KR 102491459B1
Authority
KR
South Korea
Prior art keywords
action plan
vulnerability
security
security check
check target
Prior art date
Application number
KR1020200162075A
Other languages
English (en)
Other versions
KR20220074032A (ko
Inventor
장성훈
Original Assignee
주식회사 노바소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 노바소프트 filed Critical 주식회사 노바소프트
Priority to KR1020200162075A priority Critical patent/KR102491459B1/ko
Priority to KR1020210168206A priority patent/KR20220074815A/ko
Publication of KR20220074032A publication Critical patent/KR20220074032A/ko
Application granted granted Critical
Publication of KR102491459B1 publication Critical patent/KR102491459B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/103Workflow collaboration or project management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/109Time management, e.g. calendars, reminders, meetings or time accounting

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명의 일 실시예에 따른 다자간 협업 기반의 보안 취약점 관리 방법에 있어서, 보안 점검 대상을 점검하여 상기 보안 점검 대상의 취약점을 추출하는 단계; 상기 보안 점검 대상 및 취약점에 관한 정보를 제1 담당자 계정으로 전송하는 단계; 상기 보안 점검 대상 및 취약점의 조치 계획을 수립하기 위한 가상의 조치 계획 수립 공간을 생성하고, 상기 제1 담당자 계정을 참가시키는 단계; 상기 가상의 조치 계획 수립 공간을 통해 상기 보안 점검 대상 및 취약점의 조치 유형을 입력받는 단계; 상기 조치 유형이, 상기 보안 점검 대상 및 취약점은 즉시 조치 불가능한 유형임을 지시하는 경우: 상기 보안 점검 대상과 관련되어 있는 모든 담당자를 추출하여, 상기 모든 담당자의 계정들에 상기 가상의 조치 계획 수립 공간으로의 참가 요청을 전송하는 단계; 상기 가상의 조치 계획 수립 공간으로 상기 모든 담당자 계정들의 참가가 완료되었음을 인식하는 단계; 상기 보안 점검 대상 및 상기 취약점에 대하여 상기 모든 담당자 계정들로부터 협의 내용을 수신하고, 시간별 상기 협의 내용을 협의 내역으로서 저장하는 단계; 상기 협의 내역을 시각적 타임 라인 형태로 상기 가상의 조치 계획 수립 공간을 통해 상기 모든 담당자 계정에 제공하는 단계; 협의 완료 시, 제2 담당자 계정을 통해 최고 책임자에게 보고할 상기 협의 내역을 포함하는 조치 계획 결론을 수신하는 단계; 및 상기 조치 계획 결론을 상기 최고 책임자 계정으로 전송하고, 상기 가상의 조치 계획 수립 공간을 비활성화하는 단계; 를 포함할 수 있다.

Description

다자간 협업 기반의 보안 취약점 관리 방법, 시스템 및 이를 위한 장치{Multilateral collaboration-based security vulnerability management method, system, and device therefor}
본 명세서는 시스템 보안 점검 시 자산에 대하여 발견되는 취약점을, 다자간 협업 인터페이스를 기반으로 보다 효율적으로 처리/관리하기 위한 방법, 시스템 및 이를 위한 장치를 제안한다.
정보 통신 기술의 적용이 보편화됨에 따라, 정보 통신 시설을 이용한 국가 안전 보장, 행정, 국방, 치안, 금융, 방송 통신, 운송, 에너지 등의 업무와 관련된 전자적 제어 관리 시스템 등은 활성화되어 있는 반면, 내/외부의 공격으로부터 사이버 침해 행위 발생 시 주요 정보 통신 기반 시설을 보호하는 보안 대책 마련이 취약한 실정이다. 또한, 중국발 해킹 공격에 의한 국가 주요 시스템의 해킹 사례가 지속적으로 증가하고 있으며 최근 이슈가 되고 있는 개인 정보의 침해 건수가 늘고 있는 것을 보더라도 정보 보호를 위한 대응책이 마련이 시급성을 보여주고 있다.
자동으로 취약점을 진단하는 방법은, 결정된 시간 스케줄에 따라 자동으로 서버의 보안 취약점을 분석하는 방법으로 이루어지고 있다. 이와 관련하여, 선행기술인 한국공개특허 제2009-0038683호에는, 스케줄 및 실행 명령에 따라 미리 저장된 취약점 검색 데이터 베이스를 호출하고, 호출된 검색 데이터 베이스에 포함된 취약점 데이터에 상응하여 관리 웹 서버의 취약점 존재 가능성을 검색하고, 검색된 결과를 최적화하여 취약점 정보를 도출하며, 취약점 정보 도출부에서 도출된 결과를 바탕으로 관리 웹서버의 취약점을 점검하고, 점검된 취약점의 상세 정보를 보고하는 구성을 개시하고 있다.
점검을 통하여 발견된 취약점에 대하여, 종래에는 대면 회의, 메신져, 이메일 등을 통해 보안 담당자가 각 부서 담당자에게 개별 연락을 취하여 협의를 수행하고, 협의 결과에 따른 최종 조치 결과만을 시스템에 등록하는 방식으로 조치가 수행되었다. 이렇듯 담당자가 직접 개별 연락을 취해 협의를 수행해야 하므로, 취약점 조치 일정을 수립하는 데 시간 및 노력이 과도하게 소요되었으며, 즉시 조치가 불가능한 취약점에 대한 위험 관리가 어려웠으며, 향후 IT 보안 감사에 대비하기 위하여 협의/조치 내용 추적이 매우 어렵다는 문제점이 존재하였다. 특히, 실제 취약점 조치 업무를 수행하는 담당자(예를 들어, IT 보안 담당자, IT 인프라 담당자, IT 서비스 담당자 등)들 간에 의견 충돌이 발생할 경우, IT 보안 담당자의 주도 하의 회의를 통하여 문제점이 해결되어야 하기에, IT 보안 담당자의 업무가 더욱 가중된다는 문제점이 존재하였다.
본 발명의 일 실시예에 따른 다자간 협업 기반의 보안 취약점 관리 방법에 있어서, 보안 점검 대상을 점검하여 상기 보안 점검 대상의 취약점을 추출하는 단계; 상기 보안 점검 대상 및 취약점에 관한 정보를 제1 담당자 계정으로 전송하는 단계; 상기 보안 점검 대상 및 취약점의 조치 계획을 수립하기 위한 가상의 조치 계획 수립 공간을 생성하고, 상기 제1 담당자 계정을 참가시키는 단계; 상기 가상의 조치 계획 수립 공간을 통해 상기 보안 점검 대상 및 취약점의 조치 유형을 입력받는 단계; 상기 조치 유형이, 상기 보안 점검 대상 및 취약점은 즉시 조치 불가능한 유형임을 지시하는 경우: 상기 보안 점검 대상과 관련되어 있는 모든 담당자를 추출하여, 상기 모든 담당자의 계정들에 상기 가상의 조치 계획 수립 공간으로의 참가 요청을 전송하는 단계; 상기 가상의 조치 계획 수립 공간으로 상기 모든 담당자 계정들의 참가가 완료되었음을 인식하는 단계; 상기 보안 점검 대상 및 상기 취약점에 대하여 상기 모든 담당자 계정들로부터 협의 내용을 수신하고, 시간별 상기 협의 내용을 협의 내역으로서 저장하는 단계; 상기 협의 내역을 시각적 타임 라인 형태로 상기 가상의 조치 계획 수립 공간을 통해 상기 모든 담당자 계정에 제공하는 단계; 협의 완료 시, 제2 담당자 계정을 통해 최고 책임자에게 보고할 협의 결과 내용을 수신하는 단계; 및 상기 협의 결과 내용을 상기 최고 책임자 계정으로 전송하고, 상기 가상의 조치 계획 수립 공간을 비활성화하는 단계; 를 포함할 수 있다.
본 발명의 일 실시예에 따르면, 다자간 협의 수행이 가능한 가상 협의 공간을 제공하므로, 취약점 조치 계획을 수립하는 데 시간 및 비용이 감소되고 효율성이 증대되며, 취약점 조치 방법에 대한 투명성이 확보된다는 효과가 발생한다.
또한, 본 발명의 일 실시예에 따르면, 취약점 조치에 대한 업무 분산이 가능하므로, 기존에 IT 보안 담당자에게만 부여되었던 과중한 업무가 해소된다는 효과가 발생한다.
또한, 본 발명의 일 실시예에 따르면, 조치 이력에 대한 추적이 용이하므로, 취약점 관련 보안 문제가 발생했을 경우, 책임 소재가 분명해져 IT 보안 감사에 대한 대응력을 갖출 수 있다는 효과가 발생한다.
도 1은 본 발명의 일 실시예에 따른 다자간 협업 기반의 보안 취약점 관리 시스템도이다.
도 2는 본 발명의 일 실시예에 따라 보안 점검 대상과 담당자들 사이의 관계도를 개략적으로 예시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 취약점 관리 방법의 동작 순서도이다.
도 4는 본 발명의 일 실시예에 따른 조치 계획 등록 단계의 구체적인 실시예를 예시한 순서도이다.
도 5 내지 9는 본 발명의 일 실시예에 따른 조치 계획 등록 단계의 구체적인 구현 실시예를 예시한 도면들이다.
도 10은 본 발명의 일 실시예에 따른 조치 계획 관리 단계 및 위험 관리 단계의 구체적인 실시예를 예시한 순서도이다.
도 11 내지 13은 본 발명의 일 실시예에 따른 위험 관리 단계의 구체적인 구현 실시예를 예시한 도면들이다.
도 14는 본 발명의 일 실시예에 따른 최고 책임자 보고 단계의 구체적인 실시예를 예시한 순서도이다.
도 15 내지 17은 본 발명의 일 실시예에 따른 최고 책임자 보고 단계의 구체적인 구현 실시예를 예시한 도면들이다.
도 18은 본 발명의 일 실시예에 따른 취약점 관리 방법을 예시한 순서도이다.
도 19는 본 발명의 일 실시예에 따른 취약점 관리 서버의 블록도이다.
도 20은 본 발명의 일 실시예에 따른 담당자 장치의 블록도이다.
이하 설명하는 기술은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 이하 설명하는 기술을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 이하 설명하는 기술의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 해당 구성요소들은 상기 용어들에 의해 한정되지는 않으며, 단지 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 이하 설명하는 기술의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. 예를 들어, 'A 및/또는 B'는 'A 또는 B 중 적어도 하나'의 의미로 해석될 수 있다. 또한, '/'는 '및' 또는 '또는'으로 해석될 수 있다.
본 명세서에서 사용되는 용어에서 단수의 표현은 문맥상 명백하게 다르게 해석되지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함한다" 등의 용어는 설시된 특징, 개수, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 의미하는 것이지, 하나 또는 그 이상의 다른 특징들이나 개수, 단계 동작 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 배제하지 않는 것으로 이해되어야 한다.
도면에 대한 상세한 설명을 하기에 앞서, 본 명세서에서의 구성부들에 대한 구분은 각 구성부가 담당하는 주기능 별로 구분한 것에 불과함을 명확히 하고자 한다. 즉, 이하에서 설명할 2개 이상의 구성부가 하나의 구성부로 합쳐지거나 또는 하나의 구성부가 보다 세분화된 기능별로 2개 이상으로 분화되어 구비될 수도 있다. 그리고 이하에서 설명할 구성부 각각은 자신이 담당하는 주기능 이외에도 다른 구성부가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성부 각각이 담당하는 주기능 중 일부 기능이 다른 구성부에 의해 전담되어 수행될 수도 있음은 물론이다.
또, 방법 또는 동작 방법을 수행함에 있어서, 상기 방법을 이루는 각 과정들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 과정들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
도 1은 본 발명의 일 실시예에 따른 다자간 협업 기반의 보안 취약점 관리 시스템도이다.
도 1을 참조하면, 본 명세서에서 제안하는 '다자간 협업 기반의 보안 취약점 관리 시스템(이하, '취약점 관리 시스템'이라 약칭)(100)'은, 취약점 관리 서버(110) 및 복수의 담당자 장치들(120-2~150-2)로 구성될 수 있다.
취약점 관리 서버(110)는, 보안 점검 대상의 취약점을 관리하는 서버로서, 본 명세서에서 제안되는 '다자간 협업 기반의 보안 취약점 관리 방법/인터페이스'를 관리/운영하는 메인 서버에 해당할 수 있다. 특히, 본 명세서에서 제안되는 취약점 관리 서버(110)는, 담당자들(120-1~150-1)이 취약점에 대한 조치 계획 수립, 협의, 협의 결과 기록/보고 등의 업무를 수행하기 위한 가상 공간을 제공할 수 있다. 따라서, 본 명세서에서 취약점 관리 시스템(100)은 취약점 관리 서버(110)와 동일시되어 설명될 수 있다. 담당자들(120-1~150-1)은 이러한 가상 공간을 통해 취약점에 대한 다양한 조치 업무를 보다 더 효율적으로 수행하게 된다.
취약점 관리 서버(110)는, 보안 점검 대상에 대하여 실제 점검을 수행하는 취약점 점검 서버(미도시)와 하나의 서버로서 (하드웨어/소프트웨어적으로) 통합되어 구현되거나, 별도의 서버로서 분리되어 구현될 수 있다. 별도의 서버로서 분리되어 구현되는 경우, 취약점 관리 서버(110)는 취약 점검 결과에 관한 정보를 취약점 점검 서버로부터 수신함으로써 보안 점검 대상에 대한 취약점을 인식/추출할 수 있다. 본 명세서에서는 설명의 편의를 위해 취약점 관리 서버와 취약점 점검 서버를 취약점 관리 서버로서 통합된 실시예를 중심으로 설명하나, 이에 한정되지 않으며 실시예들의 동작은 취약점 관리 서버와 취약점 점검 서버로 분리되어 설명될 수도 있다.
담당자 장치(120-2~150-2)는, 취약점 관리 서버(110)가 제공하는 '다자간 협업 기반의 보안 취약점 관리 방법/인터페이스'를 통해 취약점에 대한 조치 계획 수립, 조치 협의, 협의 결과 기록/보고 등의 업무 기능을 수행하는 전자 장치에 해당할 수 있다. 따라서, 담당자 장치(120-2~150-2)는, 담당자(120-1~150-1)의 계정이 취약점 관리 시스템(110)에 접속/로그인되어 있는 전자 장치로 해석될 수 있다.
담당자(120-1~150-1)는, 취약점 조치와 연관된 업무를 담당하는 구성원을 일컫는 것으로, 예를 들어, 점검 대상 시스템의 보안 담당자, 인프라 담당자, 서비스 담당자 등에 해당할 수 있다. 담당자(120-1~150-1)는 담당자 장치(120-2~150-2)를 통해 자신의 계정으로 취약점 관리 시스템(110)에 접속하여 보안 점검 대상 및 취약점에 관한 정보를 획득할 수 있을 뿐 아니라, 이에 대한 조치 계획 수립, 조치 협의, 협의 결과 기록/보고 등과 같은 다양한 조치 업무를 수행할 수 있다.
이하에서는 설명의 편의를 위해, 각 실시예를 취약점 관리 서버와 담당자(120-1~150-1) '계정'간의 상호 작용을 기준으로 설명하나 이에 한정되는 것은 아니며, 담당자 계정에 대한 상호 작용은 곧, 담당자 장치(120-2~150-2)에 대한 상호 작용으로까지 넓게 해석될 수 있다. 예를 들어, 취약점 관리 서버(110)가 담당자 계정으로 제1 정보를 전송함은, 취약점 관리 서버(110)가 담당자 장치(120-2~150-2)로 제1 정보를 전송하는 것으로 해석될 수 있으며, 취약점 관리 서버(110)가 담당자 계정으로부터 제1 정보를 수신함은 취약점 관리 서버(110)가 담당자 장치(120-2~150-2)로부터 제1 정보를 수신하는 것으로 해석될 수 있다. 물론 이러한 상호 작용은 모두 본 명세서에서 제안되는 취약점 관리 시스템(110)이 제공하는 기능을 통해 수행됨을 전제로 한다.
기본적으로 취약점 관리 시스템(100)을 구성하는 취약점 관리 서버(110) 및 복수의 담당자 장치들(120-2~150-2)은, 본 명세서에서 제안되는 '다자간 협업 기반의 보안 취약점 관리 시스템/방법'을 구현하도록 설계된 프로그램/어플리케이션이 설치된 장치에 해당할 수 있다.
도 2는 본 발명의 일 실시예에 따라 보안 점검 대상과 담당자들 사이의 관계도를 개략적으로 예시한 도면이다.
본 명세서에서 보안 점검 대상(210)은, 기본적으로 보안 점검 대상 시스템에 포함되어 있는 모든 '자산'을 의미하는 것으로, 예를 들어, 정보 자산, 소프트웨어 자산, 물리적 자산, 서비스 등이 이에 해당할 수 있다. '하나의' 특정 자산(210-3)에 대하여 '복수의' 서비스/업무가 연관되어 있을 수 있으며, 특정 자산(210-3)에 대한 보안 점검이 수행되는 동안 특정 자산(210-3)과 연관되어 있는 모든 서비스/업무는 중단될 수 있다.
취약점은, 외부 위협(예를 들어, 해킹 등)에 의해 자산에 해로운 영향이 미치는 것을 가능하게 할 수 있는 시스템 상의 약점을 의미하며, 예를 들어, 물리적 통제의 결여, 패스워드의 잘못된 선택과 사용, 외부 네트워크에 대한 보호되지 못한 연결, 문서의 보호되지 않은 저장 등이 이에 해당할 수 있다.
정보통신기반 보호법에 따르면, 주요 정보 통신 기반 시설(예를 들어, 은행, 신용 정보원, 한국 거래소, 금융 감독원, 금융 결제원 등)은 주기적으로 자신의 시스템 자산(210)에 관한 취약점을 탐지하고, 탐지된 취약점에 대해 적절한 조치를 취함으로써 보안 점검을 수행해야 할 의무가 있다.
따라서, 주요 정보 통신 기반 시설은 각 보안 점검 대상(210)별 점검/조치 기간을 정해두고, 보안 점검 대상(210)과 연관된 모든 서비스/업무는 점검/조치 기간 동안 중단함으로써, 보안 점검을 주기적/의무적으로 수행할 수 있다. 그 결과, 중단되는 서비스/업무의 모든 담당자들(220-1~220-4)은, 점검/조치 기간 동안에는 업무를 수행할 수 없거나 업무 수행에 지장을 받게 된다.
기존에는, 보안 담당자가 중단되는 서비스/업무의 담당자(220-1~220-4)에 일일이 개별적으로 연락을 취하여 보안 점검 대상(210) 및 점검/조치 기간에 대해 협의를 수행해야 했으며, 모든 담당자들(220-1~220-4)의 협의/승인을 얻는 경우에만 보안 점검이 가능했다. 그러나, 중단되는 서비스/업무의 담당자(220-1~220-4)는 자신의 업무에 차질이 발생하므로, 이러한 보안 점검/조치에 대해 매우 소극적이거나 비협조적인 경우가 많아, 보안 담당자가 실제 예상했던 보안 점검/조치 착수 기일이 늦춰지거나, 담당자들의 반발로 아예 수행할 수 없는 경우도 빈번히 발생하였다. 그럼에도, 보안 점검 불이행에 따른 책임은 보안 담당자가 가장 크게 져야 해서, 보안 담당자의 업무에 대한 부담과 스트레스는 과중했다.
따라서, 본 명세서에서는 이러한 보안 담당자의 과중한 업무를 해소함과 동시에, 보다 효율적으로 보안 점검 및 조치를 스케줄링/수행하기 위한 '취약점 관리 시스템/방법'에 대해 각 도면을 참조하여 이하에서 제안한다.
특히, 보안 담당자가 일일이 각 보안 점검 대상(또는 자산)(210-3)과 관련된 서비스/업무를 수행하는 모든 담당자(220-1~220-4)를 검색하여 개별적으로 연락을 취하는 업무를 덜어주고자, 각 보안 점검 대상(또는 자산)(210)과 연관된 모든 서비스/업무 담당자에 대한 정보(예를 들어, 연관 서비스/업무 담당자의 이름, 부서, 직위, 연락처, e-mail 주소, SNS 주소, 시스템/메신저 계정 등)가 사전에 설정/정의(예를 들어, 자산 및 업무 연관 로드맵의 형태 등으로)되어 취약점 관리 시스템에 사전 저장되어 있음을 전제로 한다.
도 3은 본 발명의 일 실시예에 따른 취약점 관리 방법의 동작 순서도이다.
본 순서도에서 각 단계별 순서는 실시예에 따라 변경될 수 있으며, 적어도 일부 단계가 삭제되거나 새로운 단계가 부가될 수 있다. 또한, 본 순서도의 동작 주체는 취약점 관리 서버에 해당할 수 있다.
도 3을 참조하면, 취약점 관리 시스템은 크게, 조치 계획 등록 단계(S301), 조치 계획 관리 단계(S302), 위험 관리 단계(S303) 및 최고 책임자 보고 단계(S304), 이렇게 4가지 단계로 구분될 수 있다.
조치 계획 등록 단계(S301)는, 취약점이 발견된 보안 점검 대상에 대하여 조치 계획을 수립/등록하는 단계로, 보안 담당자는 발견된 보안 점검 대상에 대하여 즉시 조치의 가능 여부 및/또는 오탐 여부를 판단하여 본 단계를 통해 조치 계획을 구체적으로 수립/등록할 수 있다. 조치 계획 수립/등록 시, 구체적인 조치 계획을 수립/협의할 수 있는 가상의 조치 계획 수립 공간을 생성하여, 보안 점검 대상과 관련된 모든 담당자들에게 이를 제공할 수 있다. 본 단계의 구체적인 실시예는, 도 4 내지 9를 참조하여 이하에서 상세히 후술하기로 한다.
조치 계획 관리 단계(S302)는, 조치 계획 등록 단계를 통해 등록된 조치 계획을 취약점 관리 시스템에서 관리하는 단계에 해당한다. 특히, 전 단계에서 각 조치 계획별로 계획 수립 만료 기한이 설정될 수 있으며, 조치 계획 관리 단계는 설정된 만료 기한이 가깝게 도래한 조치 계획에 대하여 시각적 알림을 담당자들에 제공함으로써 만료 기한 내에 모든 조치 계획에 대한 협의가 완료될 수 있도록 할 수 있다. 본 단계의 구체적인 실시예는, 도 10을 참조하여 이하에서 후술하기로 한다.
위험 관리 단계(S303)는, 위험도가 높지 않은 보안 점검 대상 및 취약점에 대하여 위험 수용 티켓을 발행하고, 위험 상태를 지속적으로 관리하는 단계에 해당한다. 보안 담당자는 탐지된 취약점의 위험도가 낮아 조치 마감 기한을 연장해도 된다고 판단하는 경우 위험 수용 티켓 발행을 취약점 관리 서버에 요청할 수 있으며, 취약점 관리 서버는 이렇게 위험 수용 티켓이 발행된 조치 계획들에 대하여 위험 관리 동작을 수행할 수 있다. 본 단계의 구체적인 실시예는, 도 10 내지 13을 참조하여 이하에서 상세히 후술하기로 한다.
최고 책임자 보고 단계(S304)는, 조치 계획에 대하여 결론이 난 경우, 보안 담당자가 조치 계획 결론을 최고 책임자에게 최종 보고하는 단계에 해당한다. 보안 담당자는 보안 점검 대상, 취약점, 조치 계획 내용, 담당자들과의 협의 내용/내역, 증빙 자료 등이 포함된 조치 계획 결론을 취약점 관리 시스템을 통해 작성하여 최고 책임자에게 보고/전송할 수 있다. 취약점 관리 시스템은 최고 책임자에게 보고/전송된 조치 계획은 조치가 완료된 것으로 가상의 조치 계획 수립 공간을 비활성화할 수 있다. 특히, 위험 수용 티켓이 발행되는 경우, 보안 담당자는 최고 책임자에게 위험 수용 티켓 발행 내용에 대한 결재를 요청할 수 있으며, 최고 책임자는 위험 수용 티켓 발행 내용을 검토하여 결재를 수행함으로써 위험 수용 티켓을 발행할 수 있다. 본 실시예에 관한 상세한 설명은 도 14 내지 17을 참조하여 이하에서 후술한다.
본 순서도의 각 단계는 취약점 관리 서버의 기능적 구성 요소에 대응될 수 있다. 예를 들어, 취약점 관리 서버는 조치 계획 등록부, 조치 계획 관리부, 위험 관리부 및 최고 책임자 보고부를 포함하도록 구성될 수 있다. 각 구성은 본 명세서에서 제안되는 단계/동작/실시예를 수행하기 위해 적어도 하나의 하드웨어/소프트웨어적인 구성 요소로 구현될 수 있다.
본 순서도에서는 설명의 편의를 위해 하나의 보안 담당자에 의해 주체적으로 수행되는 것으로 설명하였으나, 이에 한정되는 것은 아니며, 실시예에 따라 복수의 보안 담당자에 의해 수행될 수도 있다. 예를 들어, 조치 계획 등록, 조치 계획 관리 단계는 제1 보안 담당자(예를 들어, 취약점 조치 담당자)에 의해, 위험 관리 및 최고 책임자 보고 단계는 제2 보안 담당자가(예를 들어, IT 보안 담당자)에 의해 수행될 수 있다. 이하에서는 설명의 편의를 위해 하나의 보안 담당자가 각 단계를 주체적으로 수행하는 것으로 설명하나 이에 한정되는 것은 아니며, 중복하여 설명하지 않아도 앞서 상술한 바와 같이 각 단계/업무별로 제1 또는 제2 보안 담당자에 의해 수행될 수 있다.
도 4는 본 발명의 일 실시예에 따른 조치 계획 등록 단계의 구체적인 실시예를 예시한 순서도이다.
본 순서도에서, 각 단계별 순서는 실시예에 따라 변경될 수 있으며, 적어도 일부 단계가 삭제되거나 새로운 단계가 부가될 수 있다. 또한, 본 순서도의 동작 주체는 취약점 관리 서버에 해당할 수 있다.
도 4를 참조하면, 우선 취약점 관리 서버는 기설정된 점검 스케줄에 따라 보안 점검 대상을 추출/탐지/발견/인지하고, 추출/탐지/발견/인지한 보안 점검 대상에 대한 점검을 수행할 수 있다(S401).
다음으로, 취약점 관리 서버는 점검 결과에 따라 보안 점검 대상별 취약점을 추출하고(S402), 추출한 보안 점검 대상 및 취약점에 대한 조치 계획 등록 정보를 생성할 수 있다(S403). 특히, 이러한 조치 계획 등록 정보는, 조치 계획 기간, 조치 계획 등록을 위한 아이콘/URL(Uniform Resource Locator) 주소 등이 추가되어 생성될 수 있다.
다음으로, 취약점 관리 서버는 취약점이 추출된 보안 점검 대상을 관리하는 보안 담당자 정보를 추출할 수 있다(S404). 각 보안 점검 대상 및 취약점에 대한 보안 담당자의 정보는, 취약점 관리 서버에 사전에 저장되어 있음을 전제로 한다.
다음으로, 취약점 관리 서버는 S403 단계에서 생성한 조치 계획 등록 정보를 S404 단계에서 추출한 보안 담당자에게 제공(예를 들어, 보안 담당자 계정/장치로 전송)할 수 있다(S405). 만일, 조치가 필요한 보안 점검 대상이 복수개 추출된 경우, 취약점 관리 서버는 추출된 복수개 보안 점검 대상별 조치 계획 등록 정보를 리스트업하여 보안 담당자에게 제공할 수 있다.
다음으로, 보안 담당자는 특정 보안 점검 대상에 대한 조치 계획 등록 정보에 기초하여 조치 계획을 수립할 필요가 있다고 판단한 경우, 조치 계획 등록 정보에 포함되어 있는 조치 계획 등록 아이콘/URL에 대하여 선택 입력을 수행함으로써 해당 보안 점검 대상에 대한 가상의 조치 계획 수립 공간을 생성할 수 있다(S406). 보안 담당자로부터 조치 계획 등록 요청을 수신한 취약점 관리 서버는, 보안 담당자의 선택 입력에 따라 가상의 조치 계획 수립 공간을 생성하고, 생성한 가상 공간에 보안 담당자를 참여시킬 수 있다. 생성된 가상의 조치 계획 수립 공간은, 취약점 조치를 위한 계획 수립, 담당자들간의 협의 등을 위한 가상의 공간으로서 활용될 수 있다.
다음으로, 취약점 관리 서버는 보안 점검 대상 및 취약점에 대한 조치 유형을 보안 담당자로부터 입력받을 수 있다(S407). 보다 상세하게는, 취약점 관리 서버는, 보안 담당자로부터 조치 유형을 입력받기 위한 아이콘/GUI(Graphic User Interface)를 가상의 조치 계획 수립 공간을 통해 제공할 수 있으며, 보안 담당자는 각 보안 점검 대상별 조치 계획 등록 정보에 기초하여 조치 유형을 결정하여 해당 아이콘/GUI에 대한 입력을 수행할 수 있다. 조치 유형으로는, 즉시 조치 가능한 유형, 즉시 조치 불가능한 유형 또는 오류로 탐지된(즉, 오탐) 유형 등으로 있을 수 있다. 본 단계에 관한 보다 상세한 설명은 도 6 및 7을 참조하여 이하에서 보다 상세히 후술한다.
만일, S407 단계에서 즉시 조치 입력을 수신한 경우, 취약점 관리 서버는 가상의 조치 계획 수립 공간을 통해 즉시 조치 내용을 입력하기 위한 입력 인터페이스를 보안 담당자 계정에 제공할 수 있으며, 보안 담당자는 이를 통해 즉시 조치 내용을 입력하여 취약점 관리 서버에 등록할 수 있다(S408). 즉시 조치 내용의 등록이 완료되면, 취약점 관리 서버는 즉시 조치 내용 및 이와 관련된 모든 정보를 등록/저장할 수 있으며(S409), 생성했던 가상의 조치 계획 수립 공간은 비활성화할 수 있다.
반대로, S407 단계에서 즉시 조치 불가능 입력을 수신한 경우, 취약점 관리 서버는 가상의 조치 계획 수립 공간을 통해 즉시 조치 불가능 내용을 입력하기 위한 입력 인터페이스를 보안 담당자 계정에 제공할 수 있으며, 보안 담당자는 이를 통해 즉시 조치 불가능한 내용을 입력하여 취약점 관리 서버에 등록할 수 있다(S410).
다음으로, 취약점 관리 서버는 즉시 조치 불가능 내용이 포함된 협의 참가 요청을 생성할 수 있으며(S411), 보안 점검 대상에 대하여 사전에 등록/저장되어 있는 모든 담당자를 추출할 수 있다(S412). 앞서 상술한 바와 같이, 각 보안 점검 대상에 대하여 업무/서비스적으로 연관이 있는 모든 담당자에 대한 정보는 사전에 취약점 관리 시스템에 저장 및 관리될 수 있음을 전제로 한다.
다음으로, 취약점 관리 서버는 추출한 모든 담당자 계정에 대하여 협의 참가 요청을 전송할 수 있다(S413). 요청을 수신한 모든 담당자는, 협의 참가 요청에 포함된 즉시 조치 불가능 내용을 확인하고, 요청을 승인함으로써 가상 조치 계획 수립 공간에 참가할 수 있다(S414). 모든 담당자는, 가상 조치 계획 수립 공간을 통해 보안 점검 대상 및 취약점에 대한 조치 계획을 수립/협의할 수 있다. 본 실시예에 대해서는 도 7 내지 9를 참조하여 이하에서 후술한다.
도 5 내지 9는 본 발명의 일 실시예에 따른 조치 계획 등록 단계의 구체적인 구현 실시예를 예시한 도면들이다.
도 5를 참조하면, 취약점 관리 서버는 점검 결과에 따라 조치가 필요하다고 판단된 보안 점검 항목(510)을 리스트업하여 점검 항목으로서 보안 담당자(특히, 보안 담당자 계정/장치)에 제공할 수 있다. 나아가, 점검 항목(510) 중 특정 보안 점검 대상에 대한 보안 담당자의 선택 입력 수신 시, 취약점 점검 서버는 선택된 특정 보안 점검 대상에 대한 상세 정보를 제공할 수 있다. 이때, 취약점 점검 서버는, 선택된 특정 보안 점검 대상에 대한 가상의 조치 계획 수립 공간 생성 입력을 수신하기 위한 조치계획등록 아이콘(520)을 제공할 수 있다. 본 도면에 예시된 정보는 모두, 앞서 상술한 '조치 계획 정보'에 해당할 수 있다.
조치계획등록 아이콘(520)에 대한 보안 담당자의 선택 입력이 수신되면, 취약점 점검 서버는 도 6에 도시한 바와 같은 가상의 조치 계획 수립 공간을 생성할 수 있다.
취약점 점검 서버는, 가상의 조치 계획 수립 공간의 좌측 영역에는 보안 점검 대상 및 취약점에 대한 조치 유형을 입력받기 위한 GUI를, 우측 영역에는 조치/합의 내역이 시간 순서에 따라 타임라인 형태로 기록되는 조치 계획 타임라인(650)을 제공할 수 있다.
보안 담당자가 해당 GUI를 통해 조치 유형으로서 즉시 조치 가능(610)을 선택 입력한 경우, 취약점 관리 서버는 가상의 조치 계획 수립 공간을 통해 즉시 조치 내용(예를 들어, 즉시 조치 기간(620), 보안 담당자 의견(630), 증빙 자료(640) 등)을 입력/등록할 수 있는 기능을 추가로 제공할 수 있다. 취약점 관리 서버는 즉시 조치 내용을, 즉시 조치 내용의 작성 시간 및 작성자에 관한 정보와 함께 조치 계획 타임라인에 기록할 수 있다.
보안 담당자가 해당 GUI를 통해 조치 유형으로서 즉시 조치 불가능(즉, 협의 필요)(710)을 선택 입력한 경우, 취약점 관리 서버는 도 7에 도시한 바와 같이, 가상의 조치 계획 수립 공간을 통해 즉시 조치 불가능 내용(예를 들어, 협의할 내용(720), 협의 기간, 보안 담당자 의견, 증빙 자료(730) 등)을 입력/등록할 수 있는 기능을 추가로 제공할 수 있다. 취약점 관리 서버는 즉시 조치 불가능 내용을, 즉시 조치 불가능 내용의 작성 시간 및 작성자에 관한 정보와 함께 조치 계획 타임라인에 기록할 수 있다.
취약점 관리 서버는, 보안 담당자로부터 즉시 조치 불가능 내용을 수신한 경우, 즉시 조치 불가능 내용이 포함된 협의 참가 요청을 생성하여 관련된 모든 담당자 계정으로 전송할 수 있다. 참가 요청을 수신한 담당자 계정의 화면에는, 도 8에 도시한 바와 같이, 협의 요청된 보안 점검 대상과 함께, 요청 구분이 '협의 필요'로 표시(810)되어 제공될 수 있다. 나아가, 취약점 관리 서버는 모든 담당자에게 제공하는 협의 참가 수락을 입력받기 위한 아이콘/GUI(도 8의 경우, '처리하기' 아이콘)(820)를 제공할 수 있으며, 담당자는 해당 아이콘/GUI(820)에 대한 입력을 수행함으로써 가상의 조치 계획 수립 공간에 참가할 수 있다.
취약점 관리 서버는, 도 9에 도시한 바와 같이, 협의에 참가한 담당자 계정들에 대하여 가상의 조치 계획 수립 공간을 통해 가상의 협의 공간(910)을 제공할 수 있다. 취약점 관리 서버는 이러한 가상의 협의 공간(910)을 통해 담당자가 의견, 조치 계획, 증빙 자료 등의 협의 자료를 입력할 수 있는 기능을 제공할 수 있다. 협의에 참가한 담당자들은 이러한 공간(910)을 통해 자신의 의견, 계획, 증빙 자료 등을 등록함으로써 취약점에 대한 협의를 다른 담당자들과 적극적으로 소통할 수 있다.
취약점 관리 서버는 담당자별 시간별 협의 내용을 모두 협의 내역으로서 저장하고, 이를 타임라인의 형태로 가상의 조치 계획 수립 공간을 통해 제공(920)할 수 있다. 협의 내역은, 시간별로 하단부터 순차적으로 적층되는 타임라인 형태로 제공(920)될 수 있으나, 이에 한정되는 것은 아니다. 각 담당자는 이러한 타임라인(920)에 표시된 협의 내역을 검토/확인하여 자신의 의견을 적극적으로 입력/등록함으로써 적절하고 효율적인 조치 계획 수립을 위한 협의를 다른 담당자들과 실시간으로 활발하게 수행할 수 있다.
도 10은 본 발명의 일 실시예에 따른 조치 계획 관리 단계 및 위험 관리 단계의 구체적인 실시예를 예시한 순서도이다.
본 순서도에서, 각 단계별 순서는 실시예에 따라 변경될 수 있으며, 적어도 일부 단계가 삭제되거나 새로운 단계가 부가될 수 있다. 또한, 본 순서도의 동작 주체는 취약점 관리 서버에 해당할 수 있다.
취약점 관리 서버는, 조치 계획 등록 시 설정된 조치 계획 수립 만료 기한이 기설정된 기한 이내로 가까워진 경우, 가상의 조치 계획 수립 공간에 참가 중인 담당자(특히, 보안 담당자)에 대하여 기간 만료 도래에 대한 시각적 알림을 제공할 수 있다(S1001).
보안 담당자는 보안 점검 대상의 취약점의 조치 유형에 대하여 판단할 수 있다(S1002). 이때 선택 가능한 조치 유형은, 앞선 실시예와는 달리, 즉시 조치 불가능 유형, 추가 협의 필요 유형, 오탐 유형이 존재하며, 즉시 조치 가능 유형은 제외된다. 그 이유는, 즉시 조치 가능 유형인 경우, 조치 계획 등록 단계에서 이미 보안 담당자에 의해 즉시 조치 완료되었기 때문이다.
만일, 보안 담당자가 보안 점검 대상의 취약점이 즉시 조치 불가하나 위험도가 높지 않아 위험의 수용이 가능하다고 판단한 경우, 유효 기간을 설정하여 위험 수용 티켓 발행을 취약점 관리 서버에 요청할 수 있다(S1003). 위험 수용 티켓이 발행되면, 취약점 관리 서버는 위험 수용 티켓이 발행된 보안 점검 대상 및 취약점에 대하여 담당자가 위험을 일정 기간동안 수용한 것으로 보고, 설정된 유효 기간동안 가상의 조치 계획 수립 공간을 비활성화할 수 있다. 유효 기간이 만료되면, 취약점 관리 서버는 가상의 조치 계획 수립 공간을 다시 활성화하여 보안 점검 대상 및 취약점에 대하여 적절한 조치가 취해질 수 있도록 유도할 수 있다.
또는, 만일 보안 담당자가 보안 점검 대상의 취약점에 대한 담당자간 추가 협의가 필요하다고 판단한 경우, 보안 담당자는 가상의 조치 계획 수립 공간을 통해 담당자에게 추가 협의를 독려/문의하고, 담당자로부터 추가 협의 의견을 수신하여 저장할 수 있다(S1004). 이 역시, 취약점 관리 서버가 타임라인에 협의 내역으로서 기록할 수 있다. 만일, 조치 계획 수립의 만료 기한이 다가옴에도 협의 의견을 등록하지 않는 담당자가 존재하는 경우, 취약점 관리 서버는 협의 미참여 담당자의 상관 계정으로, 해당 담당자의 협의 미참여 내용을 통보할 수 있다. 이를 통해, 취약점 관리 서버는 업무 부서 단위로 조치 계획 수립에 대한 참여를 적극적으로 독려할 수 있다.
또는, 만일 보안 담당자가 보안 점검 대상의 취약점이 오탐인 것으로 판단한 경우, 보안 점검 결과를 정상으로 처리하고 조치 계획 수립을 종료할 수 있다(S1005). 취약점 관리 서버는 보안 담당자의 처리 내용을 입력받기/수신하기 위한 아이콘/GUI를 제공할 수 있으며, 보안 담당자의 입력에 따라 가상의 조치 계획 수립 공간을 비활성화하고, 보안 점검 대상 및 취약점의 점검 결과를 정상으로 처리하여 저장할 수 있다.
도 11 내지 13은 본 발명의 일 실시예에 따른 위험 관리 단계의 구체적인 구현 실시예를 예시한 도면들이다.
도 11을 참조하면, 취약점 관리 서버는 조치 계획 관리 단계에서, 위험 수용 티켓 발행 요청을 입력받기 위한 아이콘/GUI(1120, 1130)를 가상의 조치 계획 수립 공간(1110)을 통해 보안 담당자에 제공할 수 있다. 이에 추가로, 취약점 관리 서버는 위험 수용 티켓 유효 기간을 설정(1140), 의견(특히, 위험 수용 티켓 발행 이유) 등록(1150)을 위한 아이콘/GUI를 추가로 제공할 수 있다.
취약점 관리 서버는 보안 담당자의 위험 수용 티켓 발행 요청에 따라 위험 수용 티켓을 발행할 수 있으며, 위험 수용 티켓 발행 내역(1210)을 타임라인에 도 12에 도시한 바와 같이 기록/추가할 수 있다.
위험 수용 티켓 발행의 의미는, 위험이 있음을 알고 있음에도 이를 감수하겠다는 것으로서, 보안 최고 책임자의 결재를 받아야 할 필요가 있을 수 있다. 이를 위해, 취약점 관리 서버는 위험 수용 티켓 발행 시 최고 책임자(예를 들어, 보안 최고 책임자, 보안 담당자의 상관 등)의 결재를 요청하기 위한 티켓 이관 기능(1310)을 도 13에 도시한 바와 같이 제공할 수 있다.
취약점 관리 서버는 티켓 이관 기능(1310)을 통해 결재를 받을 최고 책임자 지정 기능(1330), 보안 담당자 의견 입력 기능(1350), 증빙 서류 첨부 기능(1370)을 제공할 수 있다. 보안 담당자는, 이러한 티켓 이관 기능을 통해 위험 수용 티켓 발행에 대한 결재를 받고자 하는 최고 책임자를 지정하여 직접 결재를 받을 수 있다. 이 경우, 최고 책임자로부터 결재/승인이 수신되기 전에는, 위험 수용 티켓의 발행은 보류될 수 있다.
도 14는 본 발명의 일 실시예에 따른 최고 책임자 보고 단계의 구체적인 실시예를 예시한 순서도이다.
취약점 관리 서버는, 보안 담당자 계정을 통해 위험 수용 티켓 발행 결재를 요청할 최고 책임자를 지정/선택받을 수 있으며(S1401), 지정된 최고 책임자 계정으로 위험 수용 티켓 발행 정보를 발송할 수 있다(S1402). 최고 책임자는, 수신한 위험 수용 티켓 발행 정보를 검토한 후 위험 수용 티켓 발행에 대한 결재/승인을 수행할 수 있다. 취약점 관리 서버는 최고 책임자로부터 최고 책임자 계정을 통해 위험 수용 티켓 발행에 대한 결재/승인을 수신하면(S1403), 대응하는 보안 점검 대상 및 취약점에 대한 조치를 위험 수용 티켓의 유효 기간동안 보류할 수 있다. 그 결과, 대응되는 가상의 조치 계획 수립 공간 역시 유효 기간동안 비활성화될 수 있다.
도 15 내지 17은 본 발명의 일 실시예에 따른 최고 책임자 보고 단계의 구체적인 구현 실시예를 예시한 도면들이다.
특히, 본 도면들은 위험 수용 티켓 발행 실시예에서의 최고 책임자에게 보고 단계를 예시한 도면들에 해당한다.
위험 수용 티켓 발행에 관한 결재가 수신되면, 최고 책임자 계정에 제공되는 화면에 도 15에 도시한 바와 같이, 위험 수용 티켓 발행 정보와 함께 위험 수용 티켓 발행 대상(도 15에서 티켓 이관 대상)이 표시(1510)될 수 있다.
취약점 관리 서버는, 도 16에 도시한 바와 같이, 위험 수용 티켓 발행 대상의 처리를 위한 GUI(1610)를 최고 책임자 계정에 제공할 수 있으며, 최고 책임자는 이를 통해 의견 및 증빙 자료를 등록함으로써 위험 수용 티켓의 발행을 결재/승인할 수 있다.
위험 수용 티켓의 발행, 결재, 완료 등과 같은 위험 수용 티켓 관련 내역은 모두 도 17에 도시한 바와 같이 타임라인(1710)에 기록/저장/표시될 수 있다.
상술한 도 14 내지 17의 실시예는 모두 위험 수용 티켓 발행 실시예에서 최고 책임자에게 보고하는 단계를 설명한 것으로, 위험 수용 티켓이 미발행되는 일반적인 조치 계획 수립 실시예에서 취약점 관리 서버는, 보안 담당자 계정을 통해 협의 결과 내용을 수신하고, 이를 최고 책임자 계정으로 전송함으로써 보고를 수행할 수 있다.
최고 책임자 계정으로 보고가 전송되거나, 위험 수용 티켓 발행이 완료된 경우, 취약점 관리 서버는 보안 점검 대상 및 취약점에 대한 조치 계획 수립을 종료하고, 이에 대응되어 생성되었던 가상의 조치 계획 수립 공간을 비활성화할 수 있다.
도 18은 본 발명의 일 실시예에 따른 취약점 관리 방법을 예시한 순서도이다.
본 순서도에 관한 설명은 앞서 상술한 실시예들의 설명이 동일/유사하게 적용될 수 있으며, 중복되는 설명은 생략한다. 또한, 본 순서도에서 각 단계별 순서는 실시예에 따라 변경될 수 있으며, 적어도 일부 단계가 삭제되거나 새로운 단계가 부가될 수 있다. 또한, 본 순서도의 동작 주체는 취약점 관리 서버에 해당할 수 있다. 본 순서도에서 제1 및 제2 담당자 계정은 하나로 통합되어 보안 담당자 계정으로 구현될 수도 있다.
도 18을 참조하면, 우선, 취약점 관리 서버는, 보안 점검 대상을 점검하여 상기 보안 점검 대상의 취약점을 추출할 수 있다(S1801).
다음으로, 취약점 관리 서버는, 보안 점검 대상 및 취약점에 관한 정보를 제1 담당자 계정으로 전송할 수 있다(S1802).
다음으로, 취약점 관리 서버는 보안 점검 대상 및 취약점의 조치 계획을 수립하기 위한 가상의 조치 계획 수립 공간을 생성하고, 제1 담당자 계정을 참가시킬 수 있다(S1803). 이때, 취약점 관리 서버는 조치 계획 수립의 만료 기한을 제1 담당자 계정을 통해 입력받고 이를 설정함으로써 가상의 조치 계획 수립 공간을 생성할 수 있다.
다음으로, 취약점 관리 서버는, 가상의 조치 계획 수립 공간을 통해 보안 점검 대상 및 취약점의 조치 유형을 입력받을 수 있다(S1804). 조치 유형으로는, 즉시 조치 가능한 유형, 즉시 조치 불가능한 유형 및 오탐 유형이 있을 수 있다.
제1 담당자 계정으로부터 입력받은 조치 유형이, 보안 점검 대상 및 취약점은 즉시 조치 불가능한 유형임을 지시하는 경우(S1805):
취약점 관리 서버는 보안 점검 대상과 관련되어 있는 모든 담당자를 추출하여, 모든 담당자의 계정들에 가상의 조치 계획 수립 공간으로의 참가 요청을 전송할 수 있다(S1806).
다음으로, 취약점 관리 서버는 가상의 조치 계획 수립 공간으로 모든 담당자 계정들의 참가가 완료되었음을 인식할 수 있다(S1807). 이는, 모든 담당자들로부터 참가 수락/승인을 수신하고, 이들을 가상의 조치 계획 수립 공간에 참가시킴으로써 인식될 수 있다.
다음으로, 취약점 관리 서버는 보안 점검 대상 및 취약점에 대하여 모든 담당자 계정들로부터 협의 내용을 수신하고, 시간별 상기 협의 내용을 협의 내역으로서 저장할 수 있다(S1808).
다음으로, 취약점 관리 서버는 협의 내역을 시각적 타임 라인 형태로 가상의 조치 계획 수립 공간을 통해 모든 담당자 계정에 제공할 수 있다(S1809). 예를 들어, 취약점 관리 서버는 협의 내용을 시간별로 하단부터 순차적으로 적층하여, 가상의 조치 계획 수립 공간을 통해 타임라인 형태로 제공할 수 있다.
다음으로, 취약점 관리 서버는, 협의 완료 시, 제2 담당자 계정을 통해 최고 책임자에게 보고할 협의 결과 내용을 수신할 수 있다(S1810).
다음으로, 취약점 관리 서버는 협의 결과 내용을 최고 책임자 계정으로 전송하고, 가상의 조치 계획 수립 공간을 비활성화할 수 있다(S1811).
만일, 제1 담당자 계정으로부터 입력받은 조치 유형이, 보안 점검 대상 및 취약점은 즉시 조치 가능한 유형임을 지시하는 경우(S1805):
취약점 관리 서버는 제1 담당자 계정을 통해 즉시 조치 내용을 수신할 수 있다.
다음으로, 취약점 관리 서버는 즉시 조치 내용을 저장하고(S1812), 가상의 조치 계획 수립 공간을 비활성화할 수 있다(S1813).
만일, 제1 담당자 계정으로부터 입력받은 조치 유형이, 보안 점검 대상 및 취약점이 탐지 오류(오탐) 유형임을 지시하는 경우(S1805):
취약점 관리 서버는 제1 담당자 계정을 통해 탐지 오류 내용을 수신할 수 있다(S1814). 나아가, 취약점 관리 서버는 탐지 오류 내용을 저장하고, 가상의 조치 계획 수립 공간을 비활성화할 수 있다(S1815).
본 순서도에는 도시하지 않았으나, 만일 S1803 단계에서 설정된 조치 계획 수립의 만료 기한이 기설정된 기한 이내로 가까워진 경우, 취약점 관리 서버는 제2 담당자 계정에 가상의 조치 계획 수립 기한의 도래를 알리는 시각적 메시지를 전송할 수 있다.
또한, 본 순서도에는 도시하지 않았으나, 즉시 조치 불가능한 유형 중 위험 수용이 가능하다고 판단된 유형인 경우, 제2 담당자는 위험 수용 티켓 발행을 가상의 조치 계획 수립 공간을 통해 취약점 관리 서버에 요청할 수 있다. 제2 담당자는 위험 수용 티켓 발행 요청과 함께 위험 수용 티켓의 유효 기간을 설정할 수 있다. 취약점 관리 서버는 제2 담당자 입력에 따라 일정한 유효 기간이 설정된 위험 수용 티켓을 발행할 수 있다. 위험 수용 티켓 발행 시, 취약점 관리 서버는 제2 담당자 계정으로부터 위험 수용 티켓 발행의 승인을 요청할 발행 담당자(예를 들어, 제2 담당자의 상관 혹은 제2 담당자가 소속된 부서의 최고 보안 책임자 등)에 대한 정보를 수신할 수 있다. 이 경우, 취약점 관리 서버는 위험 수용 티켓의 발행을 보류하고, 위험 수용 티켓 발행 정보를 발행 담당자 계정에 전송함으로써 위험 수용 티켓 발행의 승인/결재 요청을 전송할 수 있다. 발행 담당자 계정으로부터 위험 수용 티켓 발행에 대한 승인이 수신되는 경우, 취약점 관리 서버는 위험 수용 티켓을 발행할 수 있다.
위험 수용 티켓이 발행된 경우, 가상의 조치 계획 수립 공간은 위험 수용 티켓의 유효 기간동안 비활성화될 수 있으며, 유효 기간 만료 시에는 가상의 조치 계획 수립 공간이 재활성화될 수 있다. 이때, 가상의 조치 계획 수립 공간의 비활성화하는, 가상의 조치 계획 수립 공간에 참가한 모든 담당자 계정으로부터 적어도 하나의 협의 내용이 수신된 경우에 한해서만 수행되도록 설정될 수 있다.
도 19는 본 발명의 일 실시예에 따른 취약점 관리 서버의 블록도이다.
도 19를 참조하면, 취약점 관리 서버는 프로세서(1910), 메모리 유닛(1920) 및 통신 유닛(1930)을 포함할 수 있다.
프로세서(1910)는, 메모리 유닛(1920)에 저장된 다양한 어플리케이션/프로그램을 실행하고, 내부의 데이터를 프로세싱할 수 있다. 특히, 프로세서(1910)는 본 명세서에서 제안된 취약점 관리 시스템/방법이 구현된 어플리케이션/프로그램을 실행할 수 있다. 프로세서(1910)는, 취약점 관리 서버에 포함된 적어도 하나의 구성/유닛을 제어하여 본 명세서에서 제안된 실시예들을 수행할 수 있다. 따라서, 본 명세서에서 취약점 관리 서버/시스템은 취약점 관리 서버의 '프로세서(1910)'로 대체되어 설명될 수 있다. 프로세서는 CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), AP(Application Processor), AP(Application Processor) 또는 본 발명의 기술 분야에 잘 알려진 임의의 형태의 프로세서를 적어도 하나 포함하여 구성될 수 있다.
메모리 유닛(1920)은 플래시 메모리, HDD(Hard Disk Drive), SSD(Solid State Drive) 등의 다양한 디지털 데이터 저장 공간을 나타내며, 비디오, 오디오, 사진, 동영상, 어플리케이션, 프로그램 등 다양한 디지털 데이터를 저장할 수 있다. 특히, 취약점 관리 서버의 메모리 유닛(1920)은, 보안 점검 대상의 취약점, 협의 내용/내역, 조치 수립 내용/내역, 위험 수용 티켓 발행 내역 등 취약점 관리 실시예와 관련된 모든 데이터를 저장할 수 있다. 메모리 유닛(1920)은 내부에 구현된 데이터 베이스 혹은 외부에 구현된 클라우드 등을 이용하여 많은 양의 데이터를 저장할 수 있다.
통신 유닛(1930)은 적어도 하나의 유/무선 통신 프로토콜을 사용하여 통신을 수행, 데이터를 송신/수신할 수 있다. 특히, 취약점 관리 서버의 통신 유닛(1930)은, 다양한 담당자 장치 및 최고 책임자 장치와 통신을 수행하여 본 명세서에서 제안되는 실시예를 구현할 수 있다.
도 20은 본 발명의 일 실시예에 따른 담당자 장치의 블록도이다.
본 블록도에서 담당자는, 보안 담당자뿐 아니라, 보안 점검 대상과 연관된 모든 담당자를 의미한다.
도 20을 참조하면, 담당자 장치는 프로세서(2010), 메모리 유닛(2020), 통신 유닛(2030), 입력 유닛(2040) 및 출력 유닛(2050)을 포함할 수 있다.
프로세서(2010), 메모리 유닛(2020) 및 통신 유닛(2030)에 대한 설명은 도 19에서 상술한 설명이 동일/유사하게 적용될 수 있으며, 이하에서는 차이점을 위주로 설명한다.
프로세서(2010)는, 담당자 장치에 포함된 적어도 하나의 구성/유닛을 제어하여 본 명세서에서 제안된 실시예들을 수행할 수 있다. 따라서, 본 명세서에서 담당자 장치는 담당자 장치의 '프로세서(2010)'로 대체되어 설명될 수 있다.
담당자 장치의 통신 유닛(2030)은, 취약점 관리 서버와 통신을 수행하여 본 명세서에서 제안된 실시예를 구현할 수 있다.
입력 유닛(2040)은, 적어도 하나의 센서를 이용하여 담당자의 입력을 센싱하는 역할을 수행할 수 있다. 예를 들어, 적어도 하나의 센서는, 터치 센서, 중력(gravity) 센서, 지자기 센서, 모션 센서, 자이로스코프 센서, 가속도 센서, 적외선 센서, 기울임(inclination) 센서, 밝기 센서, 고도 센서, 후각 센서, 온도 센서, 뎁스 센서, 압력 센서, 밴딩 센서, 오디오 센서, 비디오 센서, GPS(Global Positioning System) 센서, 및 그립 센서 등의 다양한 센싱 수단 중 적어도 어느 하나에 해당할 수 있다. 입력 유닛(2040)은 담당자의 입력을 센싱하고, 센싱 결과를 프로세서에 전달할 수 있다.
출력 유닛(2050)은, 적어도 하나의 출력 수단을 이용하여 다양한 시각적 및/또는 청각적 효과를 담당자에게 제공할 수 있다. 예를 들어, 적어도 하나의 출력 수단은, 디스플레이, 오디오 등에 해당할 수 있다. 특히, 담당자 장치의 출력 유닛(2050)은, 취약점 관리 시스템/서버가 제공하는 다양한 시각적 효과(예를 들어, GUI/아이콘 등)을 출력/표시할 수 있다.
본 발명에 따른 실시예는 다양한 수단, 예를 들어, 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 본 발명의 일 실시예는 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.
또한, 펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 일 실시예는 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차, 함수 등의 형태로 구현되어, 다양한 컴퓨터 수단을 통하여 판독 가능한 기록매체에 기록될 수 있다. 여기서, 기록매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 기록매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 예컨대 기록매체는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM(Compact Disk Read Only Memory), DVD(Digital Video Disk)와 같은 광 기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함한다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 이러한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
아울러, 본 발명에 따른 장치나 단말은 하나 이상의 프로세서로 하여금 앞서 설명한 기능들과 프로세스를 수행하도록 하는 명령에 의하여 구동될 수 있다. 예를 들어 그러한 명령으로는, 예컨대 JavaScript나 ECMAScript 명령 등의 스크립트 명령과 같은 해석되는 명령이나 실행 가능한 코드 혹은 컴퓨터로 판독 가능한 매체에 저장되는 기타의 명령이 포함될 수 있다. 나아가 본 발명에 따른 장치는 서버 팜(Server Farm)과 같이 네트워크에 걸쳐서 분산형으로 구현될 수 있으며, 혹은 단일의 컴퓨터 장치에서 구현될 수도 있다.
또한, 본 발명에 따른 장치에 탑재되고 본 발명에 따른 방법을 실행하는 컴퓨터 프로그램(프로그램, 소프트웨어, 소프트웨어 어플리케이션, 스크립트 혹은 코드로도 알려져 있음)은 컴파일 되거나 해석된 언어나 선험적 혹은 절차적 언어를 포함하는 프로그래밍 언어의 어떠한 형태로도 작성될 수 있으며, 독립형 프로그램이나 모듈, 컴포넌트, 서브루틴 혹은 컴퓨터 환경에서 사용하기에 적합한 다른 유닛을 포함하여 어떠한 형태로도 전개될 수 있다. 컴퓨터 프로그램은 파일 시스템의 파일에 반드시 대응하는 것은 아니다. 프로그램은 요청된 프로그램에 제공되는 단일 파일 내에, 혹은 다중의 상호 작용하는 파일(예컨대, 하나 이상의 모듈, 하위 프로그램 혹은 코드의 일부를 저장하는 파일) 내에, 혹은 다른 프로그램이나 데이터를 보유하는 파일의 일부(예컨대, 마크업 언어 문서 내에 저장되는 하나 이상의 스크립트) 내에 저장될 수 있다. 컴퓨터 프로그램은 하나의 사이트에 위치하거나 복수의 사이트에 걸쳐서 분산되어 통신 네트워크에 의해 상호 접속된 다중 컴퓨터나 하나의 컴퓨터 상에서 실행되도록 전개될 수 있다.
설명의 편의를 위하여 각 도면을 나누어 설명하였으나, 각 도면에 서술되어 있는 실시예들을 병합하여 새로운 실시예를 구현하도록 설계하는 것도 가능하다. 또한, 본 발명은 상술한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상술한 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시 예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
또한, 이상에서는 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 명세서는 상술한 특정의 실시예에 한정되지 아니하며, 청구 범위에서 청구하는 요지를 벗어남이 없이 당해 명세서가 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형 실시들은 본 명세서의 기술적 사상이나 전망으로부터 개별적으로 이해되어서는 안될 것이다.
100: 취약점 관리 시스템
110: 취약점 관리 서버
120-1~150-1: 담당자
120-2~150-2: 담당자 장치

Claims (20)

  1. 취약점 관리 서버에 의해 수행되는 다자간 협업 기반의 보안 취약점 관리 방법에 있어서,
    복수의 서비스에 매칭되는 보안 점검 대상을 점검하여 상기 보안 점검 대상의 취약점을 추출하는 단계;
    상기 보안 점검 대상 및 취약점에 관한 정보를 제1 담당자 계정으로 전송하는 단계;
    상기 보안 점검 대상 및 취약점의 조치 계획을 수립하기 위한 가상의 조치 계획 수립 공간을 생성하고, 상기 제1 담당자 계정을 참가시키는 단계;
    상기 가상의 조치 계획 수립 공간을 통해 상기 보안 점검 대상 및 취약점의 조치 유형을 입력받는 단계;
    상기 조치 유형이, 상기 보안 점검 대상 및 취약점은 즉시 조치 불가능한 유형임을 지시하는 경우:
    상기 보안 점검 대상과 관련되어 있는 모든 담당자를 추출하여, 상기 모든 담당자의 계정들에 상기 가상의 조치 계획 수립 공간으로의 참가 요청을 전송하는 단계;
    상기 가상의 조치 계획 수립 공간으로 상기 모든 담당자 계정들의 참가가 완료되었음을 인식하는 단계;
    상기 보안 점검 대상 및 상기 취약점에 대하여 상기 모든 담당자 계정들로부터 협의 내용을 수신하고, 시간별 상기 협의 내용을 협의 내역으로서 저장하는 단계;
    상기 협의 내역을 시각적 타임 라인 형태로 상기 가상의 조치 계획 수립 공간을 통해 상기 모든 담당자 계정에 제공하는 단계;
    협의 완료 시, 제2 담당자 계정을 통해 최고 책임자에게 보고할 상기 협의 내역을 포함하는 조치 계획 결론을 수신하는 단계; 및
    상기 조치 계획 결론을 상기 최고 책임자 계정으로 전송하고, 상기 가상의 조치 계획 수립 공간을 비활성화하는 단계; 를 포함하되
    상기 제2 담당자 계정으로부터 상기 가상의 조치 계획 수립 공간을 통해 상기 서비스에 매칭된 보안 점검 대상 및 상기 보안 점검 대상의 취약점에 대한 위험 수용 티켓의 발급 요청하고, 상기 위험 수용 티켓에 대하여, 상기 서비스 및 상기 취약점을 기초로 결정된 유효 기간을 수신하는 단계;
    상기 위험 수용 티켓을 발행하는 단계;
    상기 가상의 조치 계획 수립 공간을 상기 위험 수용 티켓의 상기 유효 기간 동안 비활성화하는 단계; 및
    상기 위험 수용 티켓의 상기 유효 기간 만료 시, 상기 가상의 조치 계획 수립 공간을 재활성화하는 단계; 를 더 포함하는, 다자간 협업 기반의 보안 취약점 관리 방법.
  2. 제 1 항에 있어서,
    상기 조치 유형이, 상기 보안 점검 대상 및 취약점은 즉시 조치 가능한 유형임을 지시하는 경우:
    상기 제1 담당자 계정을 통해 즉시 조치 내용을 수신하는 단계; 및
    상기 즉시 조치 내용을 저장하고, 상기 가상의 조치 계획 수립 공간을 비활성화하는 단계; 를 더 포함하는, 다자간 협업 기반의 보안 취약점 관리 방법.
  3. 제 2 항에 있어서,
    상기 협의 내역을 상기 시각적 타임 라인 형태로 제공하는 단계는,
    상기 협의 내용을 시간별로 하단부터 순차적으로 적층하여, 상기 가상의 조치 계획 수립 공간을 통해 제공하는 단계; 를 포함하는, 다자간 협업 기반의 보안 취약점 관리 방법.
  4. 제 2 항에 있어서,
    상기 가상의 조치 계획 수립 공간을 생성하는 단계는,
    상기 조치 계획 수립의 만료 기한을 설정하여 상기 가상의 조치 계획 수립 공간을 생성하는 단계; 를 포함하는, 다자간 협업 기반의 보안 취약점 관리 방법.
  5. 제 4 항에 있어서,
    상기 조치 계획 수립의 만료 기한이 기설정된 기한 이내로 가까워진 경우, 상기 제2 담당자 계정에 상기 가상의 조치 계획 수립 기한의 도래를 알리는 시각적 메시지를 전송하는 단계; 를 더 포함하는, 다자간 협업 기반의 보안 취약점 관리 방법.
  6. 삭제
  7. 제 1 항에 있어서,
    상기 위험 수용 티켓을 발행하는 단계는,
    상기 제2 담당자 계정으로부터 상기 위험 수용 티켓 발행의 승인을 요청할 발행 담당자에 대한 정보를 수신하는 단계;
    상기 발행 담당자 계정에 상기 위험 수용 티켓 발행의 승인 요청을 전송하는 단계; 및
    상기 발행 담당자 계정으로부터 상기 위험 수용 티켓 발행에 대한 승인이 수신되는 경우, 상기 위험 수용 티켓을 발행하는 단계; 를 포함하는, 다자간 협업 기반의 보안 취약점 관리 방법.
  8. 삭제
  9. 제 1 항에 있어서,
    상기 조치 유형이, 상기 보안 점검 대상 및 취약점이 탐지 오류 유형임을 지시하는 경우:
    상기 제1 담당자 계정을 통해 탐지 오류 내용을 수신하는 단계; 및
    상기 탐지 오류 내용을 저장하고, 상기 가상의 조치 계획 수립 공간을 비활성화하는 단계; 를 더 포함하는, 다자간 협업 기반의 보안 취약점 관리 방법.
  10. 제 1 항에 있어서,
    상기 가상의 조치 계획 수립 공간을 비활성화하는 단계는, 상기 가상의 조치 계획 수립 공간에 참가한 모든 담당자 계정으로부터 적어도 하나의 협의 내용이 수신된 경우에 한해서만 수행되는 단계인, 다자간 협업 기반의 보안 취약점 관리 방법.
  11. 다자간 협업 기반의 보안 취약점 관리 서버에 있어서,
    적어도 하나의 통신 프로토콜을 사용하여 통신을 수행하는, 통신 유닛;
    데이터를 저장하는, 메모리 유닛;
    상기 통신 유닛 및 상기 메모리 유닛을 제어하는, 프로세서; 를 포함하되,
    상기 프로세서는,
    보안 점검 대상을 점검하여 상기 보안 점검 대상의 취약점을 추출하고,
    상기 보안 점검 대상의 취약점이 추출된 경우, 상기 보안 점검 대상 및 취약점에 관한 제1 정보를 제1 담당자 계정으로 전송하고,
    상기 보안 점검 대상 및 취약점의 조치 계획을 수립하기 위한 가상의 조치 계획 수립 공간을 생성하고, 상기 제1 담당자 계정을 참가시키고,
    상기 가상의 조치 계획 수립 공간을 통해 상기 보안 점검 대상 및 취약점의 조치 유형을 입력받고,
    상기 조치 유형이, 상기 보안 점검 대상 및 취약점은 즉시 조치 불가능한 유형임을 지시하는 경우:
    상기 보안 점검 대상과 관련되어 있는 모든 담당자를 추출하여, 상기 모든 담당자의 계정들에 상기 가상의 조치 계획 수립 공간으로의 참가 요청을 전송하고,
    상기 가상의 조치 계획 수립 공간으로 상기 모든 담당자 계정들의 참가가 완료되었음을 인식하고,
    상기 보안 점검 대상 및 상기 취약점에 대하여 상기 모든 담당자 계정들로부터 협의 내용을 수신하고, 시간별 상기 협의 내용을 협의 내역으로서 저장하고,
    상기 협의 내역을 시각적 타임 라인 형태로 상기 가상의 조치 계획 수립 공간을 통해 상기 모든 담당자 계정에 제공하고,
    협의 완료 시, 제2 담당자 계정을 통해 최고 책임자에게 보고할 상기 협의 내역을 포함하는 조치 계획 결론을 수신하고,
    상기 조치 계획 결론을 상기 최고 책임자 계정으로 전송하고, 상기 가상의 조치 계획 수립 공간을 비활성화하되,
    상기 제2 담당자 계정으로부터 상기 가상의 조치 계획 수립 공간을 통해 서비스에 매칭된 보안 점검 대상 및 상기 보안 점검 대상의 취약점에 대한 위험 수용 티켓의 발급 요청하고, 상기 위험 수용 티켓에 대하여, 상기 서비스 및 상기 취약점을 기초로 결정된 유효 기간을 수신하고,
    상기 위험 수용 티켓을 발행하고, 상기 가상의 조치 계획 수립 공간을 상기 위험 수용 티켓의 상기 유효 기간 동안 비활성화하고,
    상기 위험 수용 티켓의 상기 유효 기간 만료 시, 상기 가상의 조치 계획 수립 공간을 재활성화하는, 다자간 협업 기반의 보안 취약점 관리 서버.
  12. 제 11 항에 있어서,
    상기 조치 유형이, 상기 보안 점검 대상 및 취약점은 즉시 조치 가능한 유형임을 지시하는 경우, 상기 프로세서는:
    상기 제1 담당자 계정을 통해 즉시 조치 내용을 수신하고,
    상기 즉시 조치 내용을 저장하고, 상기 가상의 조치 계획 수립 공간을 비활성화하는, 다자간 협업 기반의 보안 취약점 관리 서버.
  13. 제 12 항에 있어서,
    상기 협의 내역을 상기 시각적 타임 라인 형태로 제공하는 경우, 상기 프로세서는,
    상기 협의 내용을 시간별로 하단부터 순차적으로 적층하여, 상기 가상의 조치 계획 수립 공간을 통해 제공하는, 다자간 협업 기반의 보안 취약점 관리 서버.
  14. 제 12 항에 있어서,
    상기 가상의 조치 계획 수립 공간을 생성하는 경우, 상기 프로세서는,
    상기 가상의 조치 계획 수립 만료 기한을 설정하여 상기 가상의 조치 계획 수립 공간을 생성하는, 다자간 협업 기반의 보안 취약점 관리 서버.
  15. 제 14 항에 있어서,
    상기 가상의 조치 계획 수립 만료 기한이 기설정된 기한 이내로 가까워진 경우, 상기 프로세서는, 상기 제2 담당자 계정에 상기 가상의 조치 계획 수립 기한의 도래를 알리는 시각적 메시지를 전송하는, 다자간 협업 기반의 보안 취약점 관리 서버.
  16. 삭제
  17. 제 11 항에 있어서,
    상기 위험 수용 티켓을 발행하는 경우, 상기 프로세서는,
    상기 제2 담당자 계정으로부터 상기 위험 수용 티켓 발행의 승인을 요청할 발행 담당자에 대한 정보를 수신하고,
    상기 발행 담당자 계정에 상기 위험 수용 티켓 발행의 승인 요청을 전송하고,
    상기 발행 담당자 계정으로부터 상기 위험 수용 티켓 발행에 대한 승인이 수신되는 경우, 상기 위험 수용 티켓을 발행하는, 다자간 협업 기반의 보안 취약점 관리 서버.
  18. 삭제
  19. 제 11 항에 있어서,
    상기 조치 유형이, 상기 보안 점검 대상 및 취약점이 탐지 오류 유형임을 지시하는 경우, 상기 프로세서는:
    상기 제1 담당자 계정을 통해 탐지 오류 내용을 수신하고,
    상기 탐지 오류 내용을 저장하고, 상기 가상의 조치 계획 수립 공간을 비활성화하는, 다자간 협업 기반의 보안 취약점 관리 서버.
  20. 제 11 항에 있어서,
    상기 프로세서는, 상기 가상의 조치 계획 수립 공간에 참가한 모든 담당자 계정으로부터 적어도 하나의 협의 내용이 수신된 경우에 한해서만 상기 가상의 조치 계획 수립 공간을 비활성화하는, 다자간 협업 기반의 보안 취약점 관리 서버.
KR1020200162075A 2020-11-27 2020-11-27 다자간 협업 기반의 보안 취약점 관리 방법, 시스템 및 이를 위한 장치 KR102491459B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020200162075A KR102491459B1 (ko) 2020-11-27 2020-11-27 다자간 협업 기반의 보안 취약점 관리 방법, 시스템 및 이를 위한 장치
KR1020210168206A KR20220074815A (ko) 2020-11-27 2021-11-30 다자간 협의 인터페이스에 기반한 보안 취약점 분석 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200162075A KR102491459B1 (ko) 2020-11-27 2020-11-27 다자간 협업 기반의 보안 취약점 관리 방법, 시스템 및 이를 위한 장치

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020210168206A Division KR20220074815A (ko) 2020-11-27 2021-11-30 다자간 협의 인터페이스에 기반한 보안 취약점 분석 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20220074032A KR20220074032A (ko) 2022-06-03
KR102491459B1 true KR102491459B1 (ko) 2023-01-26

Family

ID=81982612

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020200162075A KR102491459B1 (ko) 2020-11-27 2020-11-27 다자간 협업 기반의 보안 취약점 관리 방법, 시스템 및 이를 위한 장치
KR1020210168206A KR20220074815A (ko) 2020-11-27 2021-11-30 다자간 협의 인터페이스에 기반한 보안 취약점 분석 방법 및 시스템

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020210168206A KR20220074815A (ko) 2020-11-27 2021-11-30 다자간 협의 인터페이스에 기반한 보안 취약점 분석 방법 및 시스템

Country Status (1)

Country Link
KR (2) KR102491459B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009086977A (ja) * 2007-09-28 2009-04-23 Fuji Xerox Co Ltd ワークフローシステムおよびプログラム
KR101775517B1 (ko) * 2016-06-23 2017-09-06 한국전자통신연구원 빅데이터 보안 점검 클라이언트, 빅데이터 보안 점검 장치 및 방법
JP2019219898A (ja) * 2018-06-20 2019-12-26 三菱電機株式会社 セキュリティ対策検討ツール
KR102093764B1 (ko) * 2019-06-24 2020-03-26 배진홍 서버 및 스토리지 관리 서버

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180104393A (ko) * 2017-03-13 2018-09-21 주식회사 엘앤제이테크 프로세스 기반 보안 위험 평가 방법
KR102143510B1 (ko) * 2019-01-31 2020-08-11 김종현 정보 보안 위험 관리 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009086977A (ja) * 2007-09-28 2009-04-23 Fuji Xerox Co Ltd ワークフローシステムおよびプログラム
KR101775517B1 (ko) * 2016-06-23 2017-09-06 한국전자통신연구원 빅데이터 보안 점검 클라이언트, 빅데이터 보안 점검 장치 및 방법
JP2019219898A (ja) * 2018-06-20 2019-12-26 三菱電機株式会社 セキュリティ対策検討ツール
KR102093764B1 (ko) * 2019-06-24 2020-03-26 배진홍 서버 및 스토리지 관리 서버

Also Published As

Publication number Publication date
KR20220074815A (ko) 2022-06-03
KR20220074032A (ko) 2022-06-03

Similar Documents

Publication Publication Date Title
KR102288045B1 (ko) 블록 체인 기반 대상 데이터 관리 방법 및 장치
CA3057393C (en) Property management system utilizing a blockchain network
US20200344219A1 (en) Automated data processing systems and methods for automatically processing requests for privacy-related information
US20190325522A1 (en) Blockchain driven unified multi-party system and method for monitored transactions of urban assets
KR20170137884A (ko) 통신 세션에서의 가상 어시스턴트
CN115242567A (zh) 消息服务提供方法及执行所述消息服务提供方法的主机终端、客户终端
CN104040550A (zh) 集成安全策略和事件管理
US9516009B2 (en) Authenticating redirection service
CN106575397A (zh) 经由组织对云提供商伙伴关系的多云策略制定
TW201640424A (zh) 利用客戶帳號直接匯款的交易方法及其系統,及非暫時電腦可讀記錄媒體
CN112567408A (zh) 用于访问控制的分布式账本平台
US11228650B2 (en) System and methods for controlling access to applications using cross-jurisdiction workload control
US11763547B2 (en) Monitoring devices at enterprise locations using machine-learning models to protect enterprise-managed information and resources
TW201205505A (en) Change management analysis method, change management analysis apparatus, and change management analysis program
KR102119079B1 (ko) 교육 시스템을 위한 qr 코드 기반의 출석 처리 장치 및 방법
KR102491459B1 (ko) 다자간 협업 기반의 보안 취약점 관리 방법, 시스템 및 이를 위한 장치
KR20200013573A (ko) 기업 및 기관용 통합관리 모바일 플랫폼
JP2009230695A (ja) 事業所管理サーバ、出張所認証装置、出張所処理端末、出張所の開所システム、プログラム
KR100769736B1 (ko) 연구개발장비의 관리장치를 이용한 통합관리방법
US20210136072A1 (en) Automated provisioning for access control within financial institutions
US11483355B1 (en) System and methods for agentless managed device identification as part of setting a security policy for a device
US20210082061A1 (en) Data governance system, model and process for multi-source financial reference data using automated business logic
Tawfique et al. Decision to migrate to the Cloud: A focus on security from the consumer perspective
KR20190101868A (ko) 경비 관리 시스템 및 이를 이용한 경비 관리 방법
Ashkar et al. Evaluation of decentralized verifiable credentials to authenticate authorized trading partners and verify drug provenance

Legal Events

Date Code Title Description
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant